安全等级划分的方法的研究综述.docVIP

安全等级划分的方法的研究综述 　　摘要 随着信息安全技术的发展，安全等级划分成为构建信息安全体系结构的核心问题。不同的安全体系结构通常会有不同的关注视角，从而导致不同的安全等级划分方法。本文对基于安全策略的TCSEC、基于安全强健性的IATF、基于安全服务的CDSA这3种主流的安全等级划分方法进行了详细的分析和对比，总的来说，划分的粒度变得越来越细，划分方法也朝着形式化的方向发展。最后，本文对该领域的研究作进一步的展望。 　　关键词 安全等级划分；安全体系结构；安全策略；安全服务 　　中图分类号TP309 文献标识码A 文章编号 1674-6708（2011）35-0185-02 　　0 引言 　　在一个信息安全体系结构中，对关注点（比如安全策略、安全服务、信息资产、业务依赖等）进行分级，不管从技术上还是从管理上都是非常必要的。信息爆炸使得安全问题变得越来越来复杂，因此安全等级的划分就成了安全体系结构设计中的核心环节。好的安全等级划分策略能够清晰地定义边界，能够对安全威胁进行精确的评估，这会给用户和信息资产的管理带来极大的方便。从安全工程师的角度看，他们通常精通各种安全技术和攻防策略，因此希望在安全服务上（比如认证、保密、访问控制、防抵赖、信息流的安全路由等）实施等级保护。而用户则更愿意从应用环境、信息资产等方面来关注安全威胁造成的后果。不同的视角造就了多种安全等级划分的策略。 　　从目前的研究看，主要的安全等级划分方法有基于安全策略的安全等级划分（TCSEC）、基于安全强健性的安全等级划分（IATF）和基于安全服务的安全等级划分（CDSA）。 　　1 基于安全策略的安全等级划分 　　安全策略是指用于所有与安全活动相关的一组规则，它的显著特点就是用一般术语对安全需求和安全属性进行描述，而不涉及具体的实现过程。美国国防部1985年12月通过的可信计算机安全评价标准（TCSEC，又称橙皮书）就是基于安全策略来分级的。TCSEC的安全等级划分指标包括安全策略（Security Policy）、责任（Accountability）、保证（Assurance）和文档（Documentation）4个方面，每个方面又细分为若干项，其中的核心就是安全策略。 　　根据对上述各项指标的支持情况，TCSEC将系统划分为4类（division）7个等级，依次是D；C（C1，C2）；B（B1，B2 ，B3）；A（A1），按系统可靠或可信程度逐渐增高。D类为最小化保护，C类为自主保护，B类为强制保护，A类为可验证的保护。在TCSEC中建立的安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。 　　基于安全策略的安全等级划分核心是访问控制。有DAC和MAC。DAC说明主体具有自主权，能够向其他主体转让访问权限，这通常会导致系统中一个或多个特权用户可以改变主体的访问权限。主体的权限过大很容易导致机密信息的泄露。DAC一般是通过访问控制表（ACL）来实现的，几乎就是一种静态表格形式，一旦用户数量增多、用户数据增加，ACL就会变得非常庞大。ACL本身的维护也不是一件容易的事，因为用户的需要访问的资源各种各样，而且用户的职责有时也会经常发生变化。MAC意味着如果用户没有按相应安全等级行事，系统就不会让用户访问对象。这是一种被动的安全模型。系统使用灵敏度标记作为所有强制访问控制的基础，灵敏度标记必须准确地表示其所联系的对象的安全级别。当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工完成这些操作。单级设备并不保持传输信息的灵敏度级别，所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度。显然这种管理不方便，也容易出错。 　　DAC和MAC都没有考虑实际的应用环境，授权访问基本上都是静态的，一旦主体有某种权限，它就永远拥有该权限。这种安全等级划分不具有动态性，也不够精确，很能适应企业规模越来越庞大，需要更加清晰和精确的安全等级划分的现实。另外，TCSEC的分级具有纵向性，即一级比一级强，但级与级之间的边界却不是十分的清晰，没有融入横向分级的策略。通常我们也需要横向的分级，每个级别关注不同的安全问题，这样就能各尽其责，边界清晰。 　　2 基于安全强健性的安全等级划分 　　2.1 IATF的等级划分思想 　　美国国家安全局（NSA）制定的信息保障技术框架IATF，提出信息保障的核心思想是纵深防御战略。所谓纵深防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中，人、技术和操作是三个主要核心因素，要保障信息及